2017.07.13
Alex Woodie 著

WannaCryについてIBM iのプロが知っておくべきこと

先日発生した大規模なWannaCryランサムウェア攻撃は、世界中の何十万人もの人々に影響を与えました。サイバー詐欺師に身代金を支払うか、ディザスター リカバリー計画を実行に移すかのどちらかで、データを回復させるという状況に陥れたのです。IBM iのプロフェッショナルであるならば、自問すべきことは、それが自分だったらどうだろうかということです。

米国の企業は、このランサムウェア攻撃を比較的無傷で切り抜けました。このランサムウェア攻撃は、Windowsオペレーティング システムの既知のセキュリティ脆弱性を悪用し、NSA(国家安全保障局)によって「武器化」され、その後ハッカーによって盗まれたコードをベースにしたものでした。

米国の企業に被害が少なかったのには、主に2つの理由があります。第1に、米国人および米国の企業は、国外と比べ、セキュリティの意識が高めである、と専門家は述べています。第2に、他の地域に比べて米国では、古い、サポートのない、または海賊版のWindowsが使用されていることが少ないことが挙げられます(これについてはBSA(ビジネス ソフトウェア アライアンス)に感謝すべきかもしれません)。

WannaCryウイルスの蔓延そのものは、ウイルスのソース コードに書き込まれたキル スイッチを見つけたセキュリティ リサーチャーの迅速な行動のおかげによるところもあり、終息に向かいつつありますが、その一方で専門家は、次のランサムウェア攻撃はさらに大規模なものになるかもしれない、とすでに警告を発しています。そして、5月12日の攻撃が過去最大規模のサイバー攻撃と目されることからすると、サイバー犯罪に関しては、新たな時代に入りつつあることは明白のようです。

IBM iに対するランサムウェアの脅威

IBM iのプロフェッショナルなのだから、Windowsユーザーの問題については担当の範囲外だとお思いかもしれません。しかし、そう思っているとしたら、それは間違いです。IBM i自体は直接Windowsのウイルスに感染しやすいわけではありませんが、WindowsライクなIFS(統合ファイル システム)は、Windowsのマルウェアを保存したり、接続されているPCに拡散したりする可能性があります。

また、IBM iユーザーがPCのハード ドライブをIFSにマッピングしている場合は、そのPCに侵入したマルウェアが、IFSへ忍び込み、ネイティブなIBM iのファイル システムに保存されているデータを暗号化するなど、何らかのダメージを与えることがあり得ると、HelpSystems社のセキュリティ サービス担当ディレクター、Robin Tatam氏は述べます。

製品情報01

「いくつかの視点から見ると、ランサムウェアを含め、ウイルスがPowerサーバーに被害をもたらすケースは十分考えられます」と彼は 『IT Jungle』に語ります。「ウイルスが、宿主となり得るIFSへ伝染し、接続されているデバイスへと感染が拡大することがあり得ます。IFSに接続されているWindowsデスクトップまたはサーバーでマルウェアが活性化されると、IFSのファイルが暗号化されてしまう可能性があります。」

「ランサムウェアは、ファイルを暗号化した後に元のファイルを削除することがよくあります」と彼は続けます。「IBM iのネイティブなファイル システム(\QSYS.lib)は、暗号化ファイルをサポートしないため、暗号化の手順は成功しませんが、その後の削除の手順が成功してしまうことは否定できません。もちろん、この削除イベントはおそらくバックアップ サーバーに複製されるため、災害事態だとしてロール スワップを行うことはできなくなります。」

WannaCryがIBM iに与えた影響

WannaCryによって、IBM iのショップが被害を受けたケースがあったかどうか、またはPower Systemsベースのディスクに保存されていたデータが暗号化されたケースがあったかどうかについては、現在のところ分かっていません。『 IT Jungle 』が本記事の取材のためにコンタクトを取った範囲では、どのIBM i向けのセキュリティ ソフトウェア ベンダーも、IBM iのショップが被害を受けたという話は耳にしていないようです。あるいは、公表しようとしていないだけかもしれませんが。しかし、IBM iサーバーに対するランサムウェア攻撃は実際に起こったことがあり、IBM iのセキュリティの専門家は、その脅威は増していると見ています。

金曜日のWannaCry攻撃以降、HelpSystems社では、ランサムウェアについての意識の高まりを目の当たりにしているようです。「被害を受けたわけではなかったものの、このことを警鐘と受け止め、将来の脅威から自らを保護する対策を講じることに関心が高まっています」とTatam氏は述べます。「残念ながら、人々が対策を講じなければという気になるためには、今回のような攻撃が必要ということなのかもしれません。」

先日、HelpSystems社は、 ランサムウェアの攻撃を受けた2つのIBM iのショップの実際の被害例について報告を行っています。物語の始まりは、相も変わらず、Eメールに記された悪意のあるリンクをユーザーがクリックすることでした。不運なことに、リンクをクリックしたユーザーはALLOBJ権限を持っており、IFS上の共有フォルダーへマッピングされたドライブを所有していました。 このフィッシング攻撃は、週末の間に、ウイルスがそのIBM iのショップのIFSシステムに保存されていた50万本のファイルを暗号化して完了しました。TPCサービスがダウンし、誰もサインオンできなくなり、バッチ ジョブがストップして、事態は深刻なものとなりました。この会社は身代金を支払わないことに決め、ディザスター リカバリー計画を実行に移すことを選びました。最終的にデータはすべて復旧されましたが、約1か月を要することとなりました。

HelpSystems社が支援した2番目の被害者は、すぐ前のリカバリー ポイントへのロールバックを行うのではなく、サイバー犯罪者に対して身代金を支払うことを選びました。ベンダーによると、費用は、追跡不能のビットコインで20万ドルだったそうです。

予防は治療に勝る

IBM iサーバーのIFSコンテンツがランサムウェアによって暗号化される可能性があるのは確かですが、やはりIBM iのショップでよく見られるのは、Windowsサーバーが被害に遭うケースのほうだ、と UCG Technologies社のJim Kandrac社長は述べます。「通常、iSeriesは感染しません。感染するのは、たいていの場合SQL Serverまたはその他のシステムです」と彼は述べます。

UCG社のある顧客では、コアIBM iサーバーにデータを供給する様々なセカンダリーWindowsサーバーがランサムウェアの攻撃に遭いました。「まさしく1億ドル企業を揺るがす事態でした」とKandrac氏は述べます。

製品情報02

UCG社は、フロリダ州タンパの KnowBe4社との提携を通じて、 2015年にランサムウェア対策のトレーニング サービスの提供を開始しました 。KnowBe4社は、有名なハッカー、Kevin Mitnick氏を擁する企業で、従業員が不用意にEメールのリンクをクリックしないようにするためのトレーニングを提供しています。

このトレーニング サービスには、不用意なクリックを行いがちなユーザーを明らかにする実践的なテストが含まれており、UCG社のクラウドベースのバックアップ サービスに付属するサービスとして提供されています。このトレーニング サービスへの関心は、当初はどちらかといえば低めでしたが、ここ数か月間で高まりつつあります。「トレーニングを受けるか、受けないか、あるいは何かが起こるかのいずれかです」とKandrac氏は述べます。

ランサムウェアに備える

IBM iの暗号化のスペシャリストである Townsend Security Solutions社の創業者でCEOのPatrick Townsend氏が、IBM iのショップがランサムウェアの流行に対処するためのいくつかのアドバイスを『 IT Jungle 』に示してくれました。

「第1に、必ずユーザーのPCのWindows(およびMac)にアップデートが自動的に適用されるようにしておくことが極めて重要です」とTownsend氏は述べます。「多くのサイバー セキュリティについての推奨事項で示されているように、この点は最優先タスクの1つです。ユーザーはPCからIBM iアプリケーションにアクセスするため、そのPCがつけ込む隙となってしまうわけです。そのため、まずこの点を解決しておくことは極めて重要です。」

また、エンド ユーザー教育の重要性を見落してはなりません。「ランサムウェアに関しては、ユーザーが防御の最前線だという認識を持たせる必要があります」とTownsend氏は述べます。「IBM iの顧客は、ユーザー教育プログラムを実施できるようにしておくことが必要であり、すべての従業員が必ずその教育プログラムを受講でき、その内容を身に着けられるようにしておくべきです。」

さらに、定期的にユーザーのPCのバックアップを取ることも重要だと、彼は付け加えます。「IBM iの顧客は、IBM iサーバーのバックアップ ルーチンについてはお手の物だと思われますが、業務上の重要データがユーザーのPCに収められていることもよくあります」と彼は述べます。

IFSのセキュリティを強化することも忘れてはなりません。「多くのIBM iの顧客は、IFSドライブをデフォルトで有効にしてマウントしています」とTownsend氏は述べます。「ランサムウェアから見れば、マウントされたIBM i IFSディレクトリは単なるもうひとつの標的ということになってしまいます。脆弱なIFSのセキュリティのせいで、IBM i上の重要データが簡単に失われてしまうこともあるのです。」

最後に大事なこととして、いざというときに身代金を払うことができるように、ビットコインのアカウントの作成について検討しておくことも必要です。「警察では身代金を支払わないよう推奨していることは承知していますし、一般論としては、それが適切なアドバイスであろうと思います」とTownsend氏は述べます。「しかし、壊滅的なランサムウェア攻撃にさらされるとしたら、あらゆる選択肢を利用できるようにしておいたほうがよいと私は考えます。」

WannaCryのケースでは、サイバー窃盗犯は、ハードドライブを暗号化解除するのにビットコインで300ドルを請求していました。古いWindows XPマシンを使用していたせいでランサムウェアの被害に遭った英国のNHS(国民保健サービス)のような組織の場合、時間のかかるDR計画を実行に移すことより、300ドルを払うことの方が、もしかしたらましだったのかもしれません。

IBM iのセキュリティを強化する

HelpSystems社のTatam氏は、IBM iにおけるセキュリティ制御を適切に設定するための技術的なアドバイスもいくつか示してくれました。

「第1に、私が常に勧めているのは、*FILESVR出口点に出口プログラムを割り当てておき、IFSおよび関連のあるファイル システムへユーザー(またはウイルス)がアクセスするのを制限できるようにしておくことです」と彼は述べます。「このことは、FTPおよびODBCを含む、すべてのネットワーク サービスに適用されるべきである全体的な制御の一部分です。」

また、IBM iのショップはQPWFSERVER権限リストを活用して、ファイル サーバーを通じてネイティブな\QSYS.libディレクトリ構造にアクセスできるユーザーを制限するべきです。「このような設定は業務目的で必要とされることはまれですが、従来型のファイルに対する被害を防ぐのに役立ちます」と彼は述べます。「この制御は*ALLOBJ特殊権限を持つユーザーに対しては無効である点に注意してください。」

また、Tatam氏は、プロファイルにファイル システムまたはデータへの不必要なアクセス権を含めるべきでないと忠告します。「攻撃は匿名で行われると考えられがちですが、そうであることはまれです」と彼は述べます。「認証情報が侵害されたり、悪用されたりすることがあるかもしれないため、ユーザー接続、パスワード ポリシー、およびオブジェクトへのアクセス許可については、確実にセキュリティのベスト プラクティスに準拠した形で設定されていることが極めて重要です。」

かなり多くのIBM iのショップが、基本的に広くオープンな形でシステムを稼働しているようであり、そのことがランサムウェアの拡散を容易する可能性があります。IBM i向けのセキュリティのベスト プラクティスに従うことにより、ランサムウェアの犯罪スキームでサイバー犯罪者が狙える攻撃対象領域は大幅に縮小されます。ランサムウェアの犯罪スキームは昨年の時点で10億ドル規模のビジネスとなっており、今年には飛躍的に拡大すると見られています。

ページトップ

ボタン